網(wǎng)絡(luò)防火墻安全訪問(wèn)控制的實(shí)現(xiàn)

邵學(xué)海

摘要：隨著Internet的應(yīng)用日益普及，針對(duì)網(wǎng)絡(luò)的攻擊頻率和密度也在顯著增長(zhǎng)，這給網(wǎng)絡(luò)安全帶來(lái)了越來(lái)越多的安全隱患。我們可以通過(guò)很多網(wǎng)絡(luò)工具、設(shè)備和策略來(lái)保護(hù)不可信任的網(wǎng)絡(luò)。其中防火墻是運(yùn)用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并做出及時(shí)的響應(yīng)，將那些危險(xiǎn)的連接和攻擊行為隔絕在外，從而降低了網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。

關(guān)鍵詞：防火墻；安全訪問(wèn)；訪問(wèn)控制

1概述

TCP／IP通信協(xié)議和Internet最初是面向科研人員的，因此，設(shè)計(jì)此協(xié)議的工作組認(rèn)為用戶和主機(jī)之間互相信任。大家能夠進(jìn)行自由開(kāi)放的信息交換和共享，不會(huì)有人故意進(jìn)行破壞。在這樣的環(huán)境里，使用Internet的人實(shí)際上就是創(chuàng)建Internet的人。隨著時(shí)間的推移。Inter-net變得更加有用和可靠，更多的用戶參與進(jìn)來(lái)，人越來(lái)越多，風(fēng)險(xiǎn)也越來(lái)越大。1988年11月的Internet蠕蟲染指了數(shù)千臺(tái)主機(jī)。從那時(shí)起，就不斷有侵犯安全的事件報(bào)道。

如今Internet的安全問(wèn)題成了人們關(guān)注的焦點(diǎn)，給認(rèn)為Internet已經(jīng)完全勝任商務(wù)活動(dòng)的過(guò)高期望潑了一盆冷水，計(jì)算機(jī)和通信界一片恐慌。

從本質(zhì)上，Internet的安全性可以通過(guò)提供以下兩方面的安全服務(wù)來(lái)達(dá)到：一是訪問(wèn)控制服務(wù)，用來(lái)保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用；二是通信安全服務(wù)，用來(lái)提供認(rèn)證、數(shù)據(jù)機(jī)要性、完整性和各通信端的不可否認(rèn)性服務(wù)。這兩種服務(wù)的實(shí)現(xiàn)，主要依賴于防火墻技術(shù)和加密技術(shù)。

防火墻的概念實(shí)際上是借用了建筑學(xué)上的一個(gè)術(shù)語(yǔ)。建筑學(xué)中的防火墻是用來(lái)防止大火從建筑的一部分蔓延到另一部分而設(shè)置的阻擋機(jī)構(gòu)。計(jì)算機(jī)網(wǎng)絡(luò)上的防火墻是用來(lái)防止來(lái)自互聯(lián)網(wǎng)的破壞，如黑客攻擊、資源被盜用或文件被篡改等波及內(nèi)部網(wǎng)絡(luò)的危害。

隨著安全性問(wèn)題上的失誤和缺陷越來(lái)越普遍，對(duì)網(wǎng)絡(luò)的入侵不僅來(lái)自高超的攻擊手段。也有可能來(lái)自配置上的低級(jí)錯(cuò)誤或不合適的口令選擇。因此，防火墻可以定義如下：它是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障，防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)；在開(kāi)放和封閉的界面上構(gòu)造一個(gè)保護(hù)層，屬于內(nèi)部范圍的業(yè)務(wù)，依照協(xié)議在授權(quán)許可下進(jìn)行；外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)受到的限制。

防火墻的設(shè)計(jì)包括以下兩方面原則：

(1)過(guò)濾不安全服務(wù)

基于這個(gè)準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提供的安全服務(wù)逐項(xiàng)開(kāi)放，對(duì)不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。

(2)屏蔽非法用戶

基于這個(gè)準(zhǔn)則，防火墻應(yīng)先允許所有的用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未經(jīng)授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。

總之，防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了外界的哪些人可以訪問(wèn)內(nèi)部的哪些可以訪問(wèn)的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)；要使一個(gè)防火墻有效，所有來(lái)自和通向外界的信息都必須經(jīng)過(guò)防火墻，接受防火墻的檢查；防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，并且防火墻本身也必須能夠免于滲透。

2防火墻的主要類型

通常將現(xiàn)在流行的防火墻劃分為兩大類：代理型和包過(guò)濾型。代理型防火墻又包括電路級(jí)網(wǎng)關(guān)防火墻和應(yīng)用級(jí)網(wǎng)關(guān)防火墻。包過(guò)濾防火墻又可以分為靜態(tài)包過(guò)濾型和狀態(tài)監(jiān)測(cè)型防火墻。

(1)電路級(jí)網(wǎng)關(guān)防火墻

它是一個(gè)通用代理服務(wù)器，它工作于OSI互聯(lián)模型的會(huì)話層或是TCP／JP協(xié)議的TOP層。它適用于多個(gè)協(xié)議，但不能識(shí)別在同一個(gè)協(xié)議棧上運(yùn)行的不同的應(yīng)用，當(dāng)然也就不需要對(duì)不同的應(yīng)用設(shè)置不同的代理模塊，但這種代理對(duì)客戶端做適當(dāng)修改。它接受客戶端的請(qǐng)求。代理客戶端完成網(wǎng)絡(luò)連接。通過(guò)電路級(jí)網(wǎng)關(guān)的傳遞的數(shù)據(jù)似乎起源于防火墻，隱藏了被保護(hù)網(wǎng)絡(luò)的信息。

(2)應(yīng)用級(jí)網(wǎng)關(guān)防火墻

通常也稱為應(yīng)用代理服務(wù)器。它工作于OSI模型的應(yīng)用層。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)起到轉(zhuǎn)接作用。

其工作過(guò)程為：首先，它對(duì)該用戶的身份進(jìn)行驗(yàn)證。若為合法用戶，則把請(qǐng)求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)，同時(shí)監(jiān)控用戶的操作，拒絕不合法的訪問(wèn)。當(dāng)內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)，代理服務(wù)器的工作過(guò)程剛好相反。應(yīng)用網(wǎng)關(guān)代理的優(yōu)點(diǎn)是易于配置，界面友好；不允許內(nèi)外網(wǎng)主機(jī)的直接連接；可以提供比包過(guò)濾更詳細(xì)的日志記錄。

(3)靜態(tài)包過(guò)濾防火墻

在網(wǎng)絡(luò)層對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全策略進(jìn)行篩選，允許授權(quán)信息通過(guò)，拒絕非授權(quán)信息。信息過(guò)濾規(guī)則以收到的數(shù)據(jù)包的頭部信息為基礎(chǔ)。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。路由器起著一夫當(dāng)關(guān)的作用。因此，包過(guò)濾型防火墻一般通過(guò)路由器實(shí)現(xiàn)，因而也稱為包過(guò)濾路由器。

包過(guò)濾型防火墻的優(yōu)點(diǎn)是邏輯簡(jiǎn)單，實(shí)施費(fèi)用低廉，對(duì)網(wǎng)絡(luò)的影響較小，有較強(qiáng)的透明性。并且它的工作與應(yīng)用層無(wú)關(guān)，無(wú)須改動(dòng)任何客戶機(jī)和主機(jī)上的應(yīng)用程序。易于安裝和使用。其弱點(diǎn)是：配置基于包過(guò)濾方式的防火墻。需要對(duì)IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解，否則容易出現(xiàn)因配置不當(dāng)帶來(lái)的問(wèn)題：不提供用戶的鑒別機(jī)制。

(4)狀態(tài)監(jiān)測(cè)型防火墻

就是對(duì)包過(guò)濾技術(shù)的增強(qiáng)。這種防火墻采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為監(jiān)測(cè)模塊。它工作在鏈路層和網(wǎng)絡(luò)層之間，對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)分析，提取相關(guān)的通信和狀態(tài)信息，并在動(dòng)態(tài)連接表中進(jìn)行狀態(tài)及上下文信息的存儲(chǔ)和更新，這些表被持續(xù)更新，為下一個(gè)通信檢查提供累積的數(shù)據(jù)。狀態(tài)監(jiān)視器的另一個(gè)優(yōu)點(diǎn)是：能夠提供對(duì)基于無(wú)連接的協(xié)議的應(yīng)用(如DNS)及基于端口動(dòng)態(tài)分配的協(xié)議的應(yīng)用(如NFS)的安全支持，靜態(tài)的包過(guò)濾和代理網(wǎng)關(guān)都不支持此類應(yīng)用?？傊?，這類防火墻減少了端口的開(kāi)放時(shí)間，提供了對(duì)幾乎所有服務(wù)的支持，缺點(diǎn)是它也允許外部客戶和內(nèi)部主機(jī)的直接連接；不提供用戶的鑒別機(jī)制。

另外，新近推出的自適應(yīng)代理(Adaptive Proxy)防火墻技術(shù)。本質(zhì)上也屬于代理服務(wù)技術(shù)，但它也結(jié)合了動(dòng)態(tài)包過(guò)濾(狀態(tài)檢測(cè))技術(shù)。組成這種類型防火墻的基本要素有兩個(gè)：動(dòng)態(tài)包過(guò)濾器與自適應(yīng)代理服務(wù)器。它結(jié)合了代理服務(wù)防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在保證安全性的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上。

3防火墻配置的實(shí)現(xiàn)

(1)雙宿主主機(jī)防火墻

這種防火墻系統(tǒng)由一臺(tái)特殊主機(jī)來(lái)實(shí)現(xiàn)。這臺(tái)主機(jī)擁有兩個(gè)不同的網(wǎng)絡(luò)接口：一端接外部網(wǎng)絡(luò)，一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò)，故被稱為雙宿主主機(jī)，也成為雙宿主網(wǎng)關(guān)。防火墻不使用包過(guò)濾規(guī)則，而是通過(guò)在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間設(shè)置這個(gè)網(wǎng)關(guān)(雙宿主網(wǎng)關(guān))，隔斷IP層之間的直接傳輸。被保護(hù)網(wǎng)絡(luò)中的主機(jī)與該網(wǎng)關(guān)可以通信，外部網(wǎng)絡(luò)中主機(jī)也能與該網(wǎng)關(guān)通信。但是兩個(gè)網(wǎng)絡(luò)中的主機(jī)不能直接通信，兩個(gè)網(wǎng)絡(luò)之間的通信通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來(lái)實(shí)現(xiàn)，其配置實(shí)現(xiàn)如圖1所示。

(2)屏蔽主機(jī)防火墻

屏蔽主機(jī)防火墻由一臺(tái)過(guò)濾路由器和一臺(tái)堡壘主機(jī)組成，其配置實(shí)現(xiàn)如圖2所示。在這種配置中，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，過(guò)濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上進(jìn)行安裝。使得外部網(wǎng)絡(luò)的主機(jī)只能訪問(wèn)該堡壘主機(jī)，而不能直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)的其他主機(jī)。內(nèi)部網(wǎng)絡(luò)在向外通信時(shí)，也必須首先到達(dá)堡壘主機(jī)，由該堡壘主機(jī)來(lái)決定是否允許訪問(wèn)外部網(wǎng)絡(luò)。這樣，堡壘主機(jī)成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。

堡壘主機(jī)是運(yùn)行代理軟件的計(jì)算機(jī)。它暴露在被保護(hù)的網(wǎng)絡(luò)之外，入侵者如果穿透了過(guò)濾路由器，必須首先把該主機(jī)攻克。才能夠進(jìn)入到內(nèi)部網(wǎng)絡(luò)。

(3)屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻是目前流行的一種結(jié)構(gòu)，其配置實(shí)現(xiàn)如圖3所示。采用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，定義為“非軍事區(qū)”，有時(shí)也稱作周邊網(wǎng)，用于放置堡壘主機(jī)、WEB服務(wù)器、Mail服務(wù)器等公用服務(wù)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)子網(wǎng)通信。在這一配置中，即使堡壘主機(jī)被入侵者控制，內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部包過(guò)濾路由器的保護(hù)。

屏蔽子網(wǎng)防火墻的主要優(yōu)點(diǎn)是它又提供了一層保護(hù)。一個(gè)入侵者必須通過(guò)兩個(gè)路由器和一個(gè)應(yīng)用網(wǎng)關(guān)，這比起屏蔽主機(jī)防火墻來(lái)要困難得多。

4結(jié)束語(yǔ)

防火墻是一種綜合性的技術(shù)，涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、國(guó)際標(biāo)準(zhǔn)化組織(ISO)的安全規(guī)范以及安全操作系統(tǒng)等方面。防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問(wèn)控制設(shè)備，常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)交界點(diǎn)上。在實(shí)際的應(yīng)用中，如果認(rèn)為單純地采用防火墻后網(wǎng)絡(luò)將變得絕對(duì)安全。將是很幼稚的。Internet防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它更是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源，所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒(méi)有全面的安全策略，那么防火墻就形同虛設(shè)。